Статья о персональных данных: Как закон обеспечивает сохранность персональных данных россиян

Разное 

Содержание

Статья 87, 88, 89 ТК РФ. Использование, хранение персональных данных работников

Статья 87. Хранение и использование персональных данных работников

(Трудовой кодекс РФ) (Ст. 87)

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

Статья 88. Передача персональных данных работника

(Трудовой кодекс РФ) (Ст. 88)

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
    Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

(Трудовой кодекс РФ) (Ст. 89)

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

  • полную информацию об их персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты своих персональных данных;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
    Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Трудовой кодекс РФ. Глава 14. Защита персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)


Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.


(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 11: Обработка конфиденциальных персональных данных — Глава 2 — Обработка персональных данных

Обработка конфиденциальных персональных данных может осуществляться только в следующих случаях:

  • I — когда субъект данных или его законный опекун дает явное согласие для конкретных целей;
  • II — без согласия субъекта данных, в случаях, когда это необходимо для:
    • а) соблюдения законных или нормативных обязательств контролером;
    • b) совместная обработка данных, необходимая государственной администрации для выполнения государственной политики, предусмотренной законами или правилами;
    • c) проведение исследований исследовательским органом, обеспечение, по мере возможности, анонимности конфиденциальных персональных данных;
    • г) регулярное осуществление прав, в том числе по договору и в судебном, административном и арбитражном судопроизводстве, последнее в соответствии с Законом № 9307 от 23 сентября 1996 г. (Закон об арбитраже);
    • e) защита жизни или физической безопасности субъекта данных или третьего лица;
    • f) охрана здоровья исключительно в рамках процедуры, осуществляемой медицинскими работниками, службами здравоохранения или органами здравоохранения; или
    • g) Гарантия предотвращения мошенничества и безопасности субъекта данных в процессах идентификации и аутентификации регистрации в электронных системах, защита прав, указанных в ст. 9 настоящего Закона и за исключением случаев, когда преобладают основные права и свободы субъекта данных, требующие защиты персональных данных.
  • 1. Положения настоящей статьи применяются к любой обработке персональных данных, которая раскрывает конфиденциальные персональные данные и может нанести ущерб субъекту данных, за исключением случаев, предусмотренных конкретным законодательством.
  • 2. В случае применения органами и государственными образованиями положений подпунктов «а» и «б» пункта II главы настоящей статьи такой отказ от согласия подлежит опубликованию в соответствии с пунктом I глава искусства.
    23 настоящего Закона.
  • 3. Передача или совместное использование конфиденциальных персональных данных между контролерами с целью получения экономической выгоды может быть объектом запрета или регулирования со стороны национального органа после консультации с отраслевыми органами государственной службы в рамках их компетенции. .
  • 4. Запрещается общение или совместное использование между контролерами персональных данных, важных для здоровья, с целью получения экономической выгоды, за исключением случаев предоставления медицинских услуг, фармацевтической помощи и медицинской помощи, при условии, что § 5 настоящей статьи , включая вспомогательные услуги по диагностике и терапии, в интересах субъекта данных и позволяет: (формулировка Закона № 13 853 от 2019 г.)
    • I — переносимость данных по запросу субъекта данных; или
    • II — финансовые и административные операции, возникающие в результате использования и оказания услуг, указанных в настоящем пункте.
  • 5. Операторам частных планов медицинского обслуживания запрещается обрабатывать медицинские данные для практики отбора рисков при приеме на работу любой формы, а также при приеме на работу и исключении бенефициаров.

Как американские предприятия страдают от отсутствия законов о конфиденциальности персональных данных

Прошло более четырех лет с тех пор, как ЕС ввел в действие свой новаторский Общий регламент по защите данных. GDPR стал образцом для законов о конфиденциальности личных данных во многих других странах, а также для Калифорнийского закона о конфиденциальности потребителей (CCPA), который вступил в силу в 2020 году. Новые законы о конфиденциальности данных должны вступить в силу еще в четырех штатах США в 2023 году, и шесть штатов активно работают над законопроектами.

Но за четыре года на федеральном уровне мало что продвинулось. В последнем проекте обсуждения американского Закона о конфиденциальности и защите данных, опубликованном 6 июня, есть несколько нерешенных вопросов, которые, вероятно, помешают двухпартийной поддержке. Это отсутствие федерального регулирования конфиденциальности стоит компаниям США денег, о которых они даже не догадываются.

Регуляторная неопределенность и отсутствие единого стандарта соответствия, безусловно, дорого обходятся, хотя сумму трудно определить количественно. Что менее очевидно, но более поддается количественному измерению, так это взрыв преступлений против бизнеса, особенно компрометации деловой электронной почты (BEC) и программ-вымогателей. Эти преступления подпитываются широкой доступностью очень подробных, законно собранных личных данных. Если правительство не будет действовать, предприятия должны будут предпринять шаги, чтобы помочь сотрудникам защитить свои личные данные и, в процессе, защитить себя.

Согласно данным IC3, Центра ФБР по рассмотрению жалоб на преступления в Интернете, BEC-атаки обошлись предприятиям в 2,4 миллиарда долларов в 2021 году по сравнению с 1,8 миллиарда долларов в 2020 году. убытки от всех видов киберпреступлений. По данным IC3, схемы программ-вымогателей обходятся компаниям в 49 миллиардов долларов в 2021 году, что более чем вдвое превышает 20 миллиардов долларов в 2020 году.

Эти затраты отражают только прямые потери. Согласно исследованию Ponemon Institute, стоимость потери производительности и восстановления скомпрометированных учетных данных и систем, связанных с этими преступлениями, может увеличиться более чем в два раза.

Работа из дома, где вычислительная среда менее безопасна, стала одной из причин роста числа этих преступлений. Но так же увеличилось количество и разнообразие личных данных, доступных в Интернете.

Данные подпитывают фишинг, который является воротами для этих преступлений. Фишинг обычно осуществляется по электронной почте, а также с помощью текстовых или мгновенных сообщений, социальных сетей и даже платформ для совместной работы. Преступники используют данные, чтобы представиться надежным источником, общающимся по одному из этих каналов, и убедить жертву перейти по вредоносной ссылке. Это может привести к установке вредоносных программ или программ-вымогателей, а также к сбору учетных данных для входа или других конфиденциальных данных.

Фишинг для бизнеса

Это может иметь разрушительные последствия для отдельных лиц, но фишинговые атаки все чаще используются для получения доступа к государственным и корпоративным системам. В 2021 году IC3 получила 323 972 жалобы на фишинг по сравнению с 25 344 такими жалобами в 2017 году — ошеломляющий рост на 120%. Согласно «Индексу мобильной безопасности 2020» Verizon, 2% сотрудников ежедневно нажимают на фишинговую ссылку.

Получив доступ, злоумышленники могут скрываться внутри систем компании, изучая рабочие процессы, отслеживая коммуникации и ожидая удобного случая. Допустим, сотрудник публикует сообщения в социальных сетях, находясь в отпуске. Это открытие, которого ждал плохой актер. Они заходят в электронную почту отпускающего сотрудника, которая содержит ветку с отделом кредиторской задолженности поставщика, где обсуждается оплата счета. Злоумышленник добавляет в ветку еще одно сообщение: «Можете ли вы также обновить наш банковский счет и отправить платеж на новый счет». Согласно отчету IC3, средний ущерб от такой успешной атаки BEC в 2021 году составил 120 000 долларов США9.0003

Брокеры данных не помогают

Фишинг становится все более эффективным из-за того, что преступникам приходится использовать все данные для настройки своих коммуникаций. Им даже не нужно красть данные. Они могут получить его на любом из примерно 150 поисковых сайтов, которые являются сегментом индустрии брокеров данных, который растет как по размеру, так и по типу информации, которую они собирают.

Эти сайты, которые в значительной степени не регулируются, начали со сбора общедоступных данных, таких как имена, адреса и номера телефонов. Теперь они собирают еще более широкий спектр данных, полученных из гораздо более широкого круга источников. Такая информация, как политические взгляды человека, диетические предпочтения, домашние животные и даже список пожеланий человека на Amazon, можно легко найти за небольшую ежемесячную абонентскую плату. И все это в настоящее время законно.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *